Обновление от 11 сентября, 9:00 ET
Мы благодарим сообщество за комментарии, вопросы и обсуждения вокруг этой публикации. В ответ на них мы решили поделиться более детальной информацией: уточнить временные рамки, упомянутые ранее, и подробно рассказать, как именно проводилось расследование данного инцидента.Отображённая ниже схема показывает, что наши аналитики SOC удалили агент через 84 минуты после его установки на хост. К этому моменту они уже изучили вредоносные индикаторы, включая имя машины, исходное вредоносное ПО и попытки этой машины скомпрометировать учётные записи жертв. После этого аналитики провели дополнительное расследование, чтобы определить исходные намерения пользователя, в том числе выяснить, не пытался ли он злоупотребить нашим продуктом. Совокупность выявленных индикаторов, а также факт, что эта машина ранее участвовала в компрометациях, позволили аналитикам сделать вывод о злонамеренности действий пользователя и удалить агент.
Мы рассчитываем продолжить обсуждение этого расследования, а также более широко — роли и назначения управляемых решений для обнаружения и реагирования на конечных точках (EDR). Часть этих дискуссий мы подробно рассмотрели в последнем выпуске Tradecraft Tuesday, ссылка ниже.
Обновление от 9 сентября, 15:00 ET
То, что вы сейчас прочтёте, является стандартной практикой всех компаний, занимающихся обнаружением и реагированием на инциденты на конечных точках (EDR). Поскольку эти сервисы предназначены для мониторинга и выявления угроз, системы EDR по своей природе должны иметь возможность отслеживать активность системы, как это описано в нашей документации, Политике конфиденциальности и Условиях обслуживания.В свете вопросов о том, как и почему Huntress опубликовала эту информацию, мы хотели уточнить несколько важных аспектов нашего расследования. Мы обязаны:
- Исследовать и реагировать на угрозы безопасности, а также изучать вредоносное ПО;
- Обучать широкое сообщество о таких угрозах.
Когда мы впервые столкнулись с хостом, упомянутым в этой статье, это произошло в процессе реагирования на многочисленные оповещения о выполнении вредоносного ПО на нём. Часть этого процесса включает тщательное расследование сигналов и сбор артефактов, связанных с телеметрией EDR на хосте. Только после более детального анализа этой телеметрии мы обнаружили признаки злонамеренной активности. В этот момент мы также выяснили, что уникальное имя машины, использованное пользователем, совпадало с тем, которое мы отслеживали в нескольких предыдущих инцидентах до установки агента.
На этом этапе мы пришли к выводу, что хост с установленным агентом Huntress является злонамеренным. Мы решили поделиться с сообществом информацией о приёмах, которые использовал злоумышленник в данном инциденте. При выборе информации для публикации мы тщательно учитывали несколько факторов, включая строгое соблюдение обязательств по конфиденциальности, а также публикацию телеметрии EDR, которая непосредственно отражает угрозы и поведение, полезное для защитников.
В целом, это расследование отражает то, к чему мы стремимся больше всего: прозрачность, образование и противодействие хакерам. Читайте дальше, чтобы узнать больше.
Итог
В Huntress мы обожаем раскрывать приёмы злоумышленников, а ещё больше нам нравится, когда они совершают ошибки. Представьте наше удивление, когда злоумышленник установил агент Huntress на свою рабочую машину — после того как нашёл нас через одну из рекламных кампаний и начал пробный период. Это дало нам уникальную возможность заглянуть внутрь их процессов: как они используют ИИ для построения рабочих процессов, ищут инструменты вроде Evilginx и многое другое.Мы все знаем, что продукты безопасности часто скачиваются злоумышленниками для «оценки», но чаще всего мы можем лишь догадываться о том, как они выбирают конкретную технологию и какие действия предпринимают при тестировании программного обеспечения. Недавно нам выпала редкая возможность наблюдать за действиями одного злоумышленника в прямом эфире — просто потому, что он установил наш агент и позволил нам собирать информацию напрямую. Здесь мы расскажем эту необычную историю.
Как мы сюда попали?
Как и большинство хороших историй, эта начинается с середины и постепенно перемещается туда и обратно. Начнём с того, как этот интересующий нас человек привлёк наше внимание.Один из приёмов в маркетинге — заинтересовать людей вашими продуктами через рекламу. Мы запускаем объявления, чтобы потенциальные клиенты узнали о наших продуктах. Побочным эффектом может быть привлечение «нежелательного» внимания. Так началось это приключение: всё началось с удачно размещённого объявления в Google.
Злоумышленник наткнулся на нашу рекламу, исследуя другое решение по безопасности. Мы подтвердили это, изучив историю браузера Google Chrome. Пример того, как это могло выглядеть для него в тот момент, показан на рисунке 1.
Рисунок 1: Поиск Bitdefender в Google, приводящий к объявлению Huntress
Похоже, что злоумышленник заинтересовался Huntress, одновременно тестируя Bitdefender. После перехода на нашу страницу сравнения они не смогли удержаться и сразу же начали пробный период. Мы можем проследить их путь через историю браузера, как показано на рисунке 2.
Рисунок 2: История браузера показывает, как поиск Bitdefender привёл к пробному периоду Huntress
Не секрет, что злоумышленники могут устанавливать продукты безопасности для исследований или даже для легального использования — и, на самом деле, этот злоумышленник интересовался не только Bitdefender и Huntress. Мы нашли доказательства того, что он приобрёл подписку на Malwarebytes (включая расширение Malwarebytes Browser Guard).
Рисунок 3: Злоумышленник пытается быть осторожным с установленным расширением Malwarebytes для браузера
Красные флаги злоумышленника и наша реакция
Мы поняли, что имеем дело с злоумышленником, а не с легитимным пользователем, по нескольким явным признакам. Основной сигнал тревоги заключался в том, что уникальное имя машины, использованное этим человеком, совпадало с тем, которое мы отслеживали в нескольких предыдущих инцидентах до установки агента. Дальнейшее расследование выявило и другие признаки: история браузера злоумышленника показывала, что он пытался целенаправленно атаковать организации, создавать фишинговые сообщения, находить и получать доступ к запущенным экземплярам Evilginx и многое другое. Мы также подозреваем, что рабочая машина, на которой был установлен Huntress, используется несколькими злоумышленниками как промежуточный узел (jump box), однако на данный момент у нас нет достаточных доказательств для окончательных выводов.Аналитики Huntress начали оценку обнаруженных индикаторов компрометации на хосте злоумышленника и их связь с данными аутентификации учётных записей Huntress. Ретроспективные поиски выявили ещё 20 скомпрометированных идентичностей, многие из которых были использованы злоумышленником до развертывания Huntress, с ограниченной активностью, заключавшейся лишь в обновлении токенов сессии для поддержания доступа.
В целом, анализ основной инфраструктуры злоумышленника, размещённой в автономной системе (AS) «12651980 CANADA INC.» (ныне известной как VIRTUO), показал модель доступа к более чем 2471 уникальной идентичности за последние две недели — многие из которых были своевременно обнаружены дополнительными средствами защиты, такими как создание вредоносных правил почты или кража токенов сессий.
Собранная информация позволила нам с высокой степенью уверенности обнаруживать действия злоумышленника и значительно сократить время реагирования на инциденты, эффективно нейтрализуя попытки обхода наших систем.
В итоге мы смогли наблюдать за повседневной деятельностью злоумышленника: от его методик до конкретных типов организаций и даже отдельных людей, представлявших для него интерес. Мы также увидели, как он начал экспериментировать с инструментами и искать обучающие материалы, пытаясь расширить свои знания. Например, после установки агента Huntress злоумышленник предпринял шаги, чтобы лучше разобраться с Autoruns.
Рисунок 4: Злоумышленник пытается лучше понять работу Autoruns
В течение трёх месяцев мы наблюдали эволюцию действий злоумышленника: как он совершенствовал свои процессы, внедрял ИИ в рабочие процессы и нацеливался на различные организации и отрасли, что показано на рисунке 5.
Рисунок 5: Обзор некоторых действий злоумышленника за несколько месяцев
Ниже приведены некоторые конкретные методики, которые мы зафиксировали.
Методики злоумышленника
Использование ИИ для повышения операционной эффективности
История браузера Chrome дала возможность в деталях увидеть, как злоумышленник использует инструменты ИИ для повышения эффективности своих рабочих процессов. Ранее уже появлялись публикации о том, как киберпреступники используют ИИ (например, на основе индикаторов в фишинговых письмах или содержимого целевых страниц), но это первый случай, когда мы получили возможность наблюдать, как злоумышленник интегрирует ИИ в свои операции для автоматизации и ускорения рабочих процессов.25 мая злоумышленник зарегистрировался на Make.com, легитимном ПО для автоматизации рабочих процессов, а затем изучал возможность интеграции с Telegram Bot для запуска автоматизированных процессов (см. рисунок 6). Злоумышленник также изучал несколько FAQ-сайтов, чтобы лучше понять работу Telegram Bot API и настройку вебхуков.
Рисунок 6: Регистрация на Make.com
Рисунок 7: Изучение API Telegram Bot
Со временем злоумышленник начал лучше разбираться, как использовать Make.com для конкретных рабочих процессов, и история браузера показывает, что он стал всё больше полагаться на эту платформу. К 29 июня рабочий процесс с использованием Make был полностью разработан. Как показано на рисунке 8, злоумышленник сначала идентифицировал интересующую организацию (обычно после получения «совета» в Telegram), а затем использовал Google Translate для перевода или составления сообщений, связанных с этими организациями. Подробной информации о том, как именно злоумышленник использовал Make для этих процессов, у нас нет, но видно, что это был элемент автоматизации определённых функций.
Рисунок 8: Злоумышленник начинает полагаться на автоматизированные рабочие процессы
Кроме того, злоумышленник проявлял интерес к другим инструментам ИИ для генерации данных и написания текстов. Мы зафиксировали несколько поисковых запросов в Google, таких как «free ai no signup» и «csv generator ai». Также злоумышленник использовал Toolbaz AI (помощник для написания текстов), функцию генерации CSV в DocsBot AI (чат-бот с ИИ) и функцию генерации данных в Explo AI (инструмент встроенной аналитики).
Поиск работающих экземпляров Evilginx
Мы обнаружили, что злоумышленник искал работающие экземпляры фреймворка для атаки типа «man-in-the-middle» — Evilginx — с помощью Censys, а затем пытался получить к ним доступ.Рисунок 9: Использование Censys для поиска работающих экземпляров Evilginx
Рисунок 10: Один из экземпляров Evilginx, к которому злоумышленник пытался получить доступ
Помимо Evilginx, мы также обнаружили на системе злоумышленника несколько установленных инструментов или проявления интереса к ним по истории браузера. Среди них: инструменты для разведки и атак GraphSpy, открытый инструмент Bloodhound, фреймворк TeamFiltration для перечисления и эксфильтрации данных и другие.
Рисунок 11: Различные инструменты, которые мог использовать злоумышленник
Интерес к сервисам резидентных прокси
История браузера Chrome также показала, что злоумышленник посещал несколько сайтов с резидентными прокси, включая LunaProxy и Nstbrowser (последний позиционируется как антидетект-браузер и поддерживает использование резидентных прокси). Злоумышленник посещал страницу тарифных планов LunaProxy, изучал конкретные продукты и обращался к руководствам быстрого старта в течение мая, июня и июля.Резидентные прокси-сервисы становятся всё более популярными среди злоумышленников, так как позволяют маршрутизировать трафик через IP-адреса домашних пользователей, что помогает скрывать вредоносную активность, например, обходить подозрительные уведомления о входе при использовании скомпрометированных учётных данных.
Рисунок 12: Проверка LunaProxy.exe через VirusTotal, найденная в истории Chrome
Методы разведки и сбора информации
Записи в истории браузера Chrome также предоставили нам детальный взгляд на методы разведки злоумышленника. Он тратил много времени на изучение компаний в разных секторах — от отдельных банков до «топовых агентств недвижимости в США», включая поиск «агентов по недвижимости в Калифорнии».Злоумышленник изучал не только отдельные компании, но и всю экосистему вокруг интересующих организаций: их клиентскую базу и связанные сторонние компании по всей цепочке поставок. Например, в начале июля он начал ориентироваться на софтверные компании, используя Google Search и маркетинговые базы данных, такие как ReadyContacts и InfoClutch, чтобы оценить количество клиентов и долю рынка.
Также злоумышленник использовал платформу BuiltWith, которая позволяет анализировать технологические стеки сайтов. 8 июля записи браузера показывают, что он проводил детальное исследование крупного e-commerce-поставщика для управления платежами и подписками, включая список клиентов, контактов и долю рынка. Затем он использовал BuiltWith для поиска сайтов, работающих с этим поставщиком, и переходил на страницу регистрации BuiltWith, предположительно для получения этого списка.
Злоумышленник провёл значительное исследование инструментов для сбора данных из Telegram-групп, включая Apify, расширение Axiom Chrome и платформу RapidAPI.
Рисунок 13: При изучении инструментов для сбора данных злоумышленник наткнулся на RapidAPI
Использование Google Translate
Злоумышленник активно использовал Google Translate. История Chrome показывает, что он сначала посещал сайты банков, а затем пользовался переводчиком, вероятно, для составления фишинговых сообщений, как видно на рисунке 14.Рисунок 14: Активное использование сервисов Google Translate злоумышленником
Злоумышленник также часто использовал urlscan для получения информации о различных сайтах. Советы, судя по всему, поступали через Telegram с помощью метода getUpdates.
Рисунок 15: Часть истории Chrome, связанная с конкретным советом
Рисунок 16: Сообщение через Google Translate
Рисунок 17: Сообщение через Google Translate: имя пользователя и пароль
В истории браузера также есть несколько записей, показывающих использование Google Translate для перевода сообщений с португальского на английский при одновременном просмотре банков в Бразилии, а затем — создание сообщений в дальнейшем.
Рисунок 18
Даркнет: STYX Market
Мы также заметили, что злоумышленник проявлял интерес к STYX Market, форуму даркнета, существующему с 2023 года, который недавно исследователи назвали «восходящей звездой для торговли логами украденных данных, учётными записями и услугами по отмыванию».После первоначального изучения STYX, а также других чатов и каналов в Telegram, злоумышленник решил проверить сайт самостоятельно, зарегистрировавшись и ознакомившись с каталогом VoIP-аккаунтов, логов украденных данных, SIM-карт и других предложений.
Рисунок 19: Злоумышленник проявил интерес к STYX Market
Рисунок 20: Публикация SOCRadar о STYX Market привлекла внимание злоумышленника
Деятельность EDR
Редко удаётся наблюдать за настоящим злоумышленником «изнутри». Нам представилась такая возможность, когда они установили наш агент. Всё начинается достаточно рутинно. Мы не знаем, о чём им снилось после окончания смены в 2:00 UTC предыдущей ночью, но, как уже упоминалось, видно, как они начинают пробный период, скачивают агент и устанавливают его.Рисунок 21: В 2:00 UTC, после примерно 10 часов бездействия, злоумышленник внезапно проявил интерес к Bitdefender, что привело их к Huntress
Самая интересная активность в начале дня 9 июля 2025 года — посещение urlscan.io для проверки login.incipientcroop[.]com. Вскоре после этого они вошли в Make.com и начали работу над проектом под названием Voltage_Office356bot (обратите внимание на опечатку).
Рисунок 22: Хронология истории EDR и браузера
Рисунок 23: Данные urlquery для login.incipientcroop[.]com
Рисунок 24: На странице urlquery для login.incipientcroop[.]com видны данные Voltage_Office356bot
Есть доказательства того, что злоумышленник имел доступ к cookie-файлам двух разных пользователей и открывал их через Notepad++. Сначала они открыли первый файл:
Код:
C:\Program Files\Notepad++\notepad++.exe
C:\Users\Administrator\Downloads\Telegram Desktop\Cookies_[victim1]@[redacted1][.].com.jsonЗатем он начаи искать информацию с помощью Google, используя запрос «email osint».
Рисунок 25: Поиск по запросу «email osint»
Далее они открыли второй cookie-файл:
Код:
C:\Program Files\Notepad++\notepad++.exe C:\Users\Administrator\Downloads\Telegram
Desktop\Cookies_[victim2]@[redacted2][.].com.jsonПосле этого они запустили Nstbrowser.exe и LunaProxy:
Код:
C:\Program Files\Nstbrowser\Nstbrowser.exe
C:\Program Files (x86)\LunaProxy_cata\socks5\LunaProxyDivert.exe SOCK5 [snip]Злоумышленник просматривал статью Say Hello to your new cache flow от Synacktiv, посвящённую WHFB и Entra ID, а затем выполнил поиск в Google по запросу «whfb prt», что привело их на сайт известного исследователя Dirk-Jan Mollema.
После этого они проверяли свой IP:
Код:
C:\Windows\system32\curl.exe ipinfo[.]ioЗатем злоумышленник попытался использовать инструмент ROADtools Token eXchange (roadtx):
Код:
C:\Users\Administrator\AppData\Local\Programs\Python\Python313\Scripts\roadtx.exe prtauth -r msgraph -c msteamsИ несколько раз пытался запустить его через Python, совершая ошибки:
Код:
C:\Users\Administrator\AppData\Local\Programs\Python\Python313\python.exe C:\Users\Administrator\AppData\Local\Programs\Python\Python313\Scripts\roadtx.exe prtauth -r msgraph -c msteams
C:\Users\Administrator\AppData\Local\Programs\Python\Python313\python.exe C:\Users\Administrator\AppData\Local\Programs\Python\Python313\Scripts\roadtx.exe describeПохоже, у него возникали трудности. Далее они обратились к посту Dirk-Jan Mollema о фишинге для Microsoft Entra primary refresh tokens.
Рисунок 26: Поиск решения по ключевому слову whfb prt
Там он нашел полезный скрипт, который мог облегчить его работу:
Рисунок 27: Отрывок из блога Dirk-Jan, указывающий на полезный скрипт
Далее он вернулс к своему проекту Voltage_Office356bot, чтобы запустить новый загруженный скрипт.
Рисунок 28: Доступ к проекту Voltage_Office356bot и запуск атакующего скрипта
Злоумышленник пытался запускать Python-скрипт:
Код:
C:\Users\Administrator\AppData\Local\Programs\Python\Python313\python.exe main.py -f roadtx.prt --wfbЗатем злоумышленник начал работать с исходным cookie-файлом второго пользователя:
Код:
C:\Users\Administrator\AppData\Local\Programs\Python\Python313\python.exe main.py --wfb -u [victim2]@[redacted2][.]comПосле этого вернулся к cookie-файлу первого пользователя:
Код:
C:\Program Files\Notepad++\notepad++.exe C:\Users\Administrator\Downloads\Telegram Desktop\Cookies_[victim1]@[redacted1][.].com.jsonНа этом данные EDR обрываются, так как злоумышленник, возможно, понял, что за ним наблюдают, и удалил агент.
Рабочие часы в день
История браузера злоумышленника даёт беспрецедентный уровень понимания его повседневной активности, поиска, рабочих процессов, исследований и многого другого. История браузера показывает, что он работал интенсивно почти каждый день в период с 29 мая 2025 года по 9 июля 2025 года.Рисунок 29: График количества часов в день (с чередующимися датами) на основе активности в браузере
Во многие из этих дней записи браузера фиксировались почти во все часы, суммарно 12–14 часов. Но наблюдались и вариации: в некоторые дни злоумышленник работал всего 1–2 часа.
При более детальном рассмотрении дней с наибольшим количеством часов можно увидеть, что именно привлекало его внимание. Мы проанализировали URL-адреса, чтобы определить, к каким бизнесам или категориям они относились, и подсчитали, сколько раз он посещал эти сайты.
Мы видим несколько тенденций. В эти дни он много времени уделял изучению различных банковских организаций и сотрудников банков. Ниже пояснены категории на графиках:
- Attack infra: Вредоносные сайты или серверы, созданные злоумышленником (возможно, не этим), с фреймворками вроде Evilginx и другими известными инструментами.
- Banking: Различные банковские сайты.
- Browser extension: Различные расширения браузера, например, блокировщики рекламы, установленные для защиты.
- Corporate & Business: Разные бизнес-сайты, не попавшие в другие категории.
- Crypto: Сайты, связанные с криптовалютой и блокчейном.
- Cybersecurity: Веб-сайты вендоров кибербезопасности. Он часто регистрировался на пробные периоды у разных поставщиков для тестирования.
- Government & military: Различные официальные государственные и военные сайты.
- News, media & information: Новости и медиа-сайты, например CNN, статьи о взломах.
- OSS: Проекты с открытым исходным кодом, часто на GitHub или GitLab.
- Recon: Разведывательные действия с использованием Censys, Urlscan, Google и др. для изучения целей.
- Research: Изучение конкретной уязвимости, инструмента или атаки.
- Sandbox: Интерес к различным типам вредоносного ПО через VirusTotal, Joe’s Sandbox и другие песочницы.
- Social media: Telegram, X и другие социальные сети.
- Software: Легитимное ПО, например 7zip.
- Telecommunications: Сайты телекоммуникационных компаний, например Verizon.
- Web & IT infrastructure: Онлайн-хостинги, такие как Mega, Amazon AWS, Azure.
Рисунок 30: Активность 29 мая 2025 года
С 29 мая по 1 июня 2025 года злоумышленник в основном просматривал банковские сайты. Более детально можно увидеть, как он исследовал различные банки, изучал Telegram Bots и скачивал шаблон с Make.
Рисунок 31: Детальный обзор активности 29 мая 2025 года
На следующий день он провёл больше времени, исследуя инфраструктуру атак, параллельно продолжая работу с банковскими сайтами.
Рисунок 32: Активность 30 мая 2025 года
31 мая и 1 июня он снова сосредоточился на изучении банковских сайтов.
Рисунок 33: Активность 31 мая 2025 года
Рисунок 34: Активность 1 июня 2025 года
Рисунок 35: Регионы, на которые был ориентирован злоумышленник с 29 мая по 1 июня 2025 года
Интересно, что в этот период он сосредоточился на банках и сайтах, расположенных в Нигерии, включая поиск по запросам:
- «No. 1 regulated crypto exchange in Nigeria»
- «top crypto companies nigeria»
- «Best Crypto Exchanges in Nigeria»
- «Top Cryptocurrency Companies in Nigeria»
После начала пробного периода он потратил значительное время на изучение возможностей Huntress, особенно панели управления учётной записью.
Выводы
Этот инцидент дал нам глубокое понимание повседневной деятельности злоумышленника: от инструментов, которые его интересовали, до методов исследования и подходов к различным аспектам атак.После подтверждения, что имя машины использовалось злоумышленником, мы решили опубликовать эти детали, поскольку они дают ценное понимание мышления и поведения атакующих. Для других защитников эта информация может помочь понять, как злоумышленники проводят исследования и запускают атаки, а также какие организации, инструменты и платформы их интересуют.
Источник
Последнее редактирование:
